[发明专利]一种在聚合端口访问控制列表的装置及其实现方法

说明书

技术领域

本发明涉及路由器、交换机等网络设备，具体地，涉及网络设备访问控制列表的方法。 

一种在现行只支持在物理端口的ACL(访问控制列表)设备上实现基于Trunk(聚合端口)的ACL的方法。涉及到各种实现基于端口的ACL设备，包括各种路由器、交换机等设备。 

背景技术

ACL(访问控制列表)近年来被广泛用于网络设备中，实现流分类、控制、统计等，是网络设备中的许多功能的基础。但是目前大多数网络设备使用的芯片只能支持在物理端口的ACL，即ACL规则只能绑定到物理端口。Trunk端口，被称为聚合端口或者干道端口，是把多个物理端口聚合起来，当作一个逻辑端口来使用，此逻辑端口具有物理端口的部分属性，可以实现流量的负载均衡，链路冗余等功能。随着应用的不断深入，在Trunk端口的ACL的需求被提出，即如何在只能支持在物理端口的ACL的网络设备中实现在Trunk端口的ACL。 

发明内容

本发明要解决的技术问题是，提出一种技术方案，在现有支持在物理端口的ACL的设备中实现在Trunk的ACL。 

本发明中的一种实现在聚合端口的访问控制列表的装置，包括配置模块、下发绑定模块、更改通知模块；其中： 

配置模块用于接受用户配置，分析目前聚合端口所包含的物理端口，调用所述下发绑定模块将在聚合端口的访问控制列表下发到聚合端口所包含的所有物理端口，并在访问控制列表规则中添加聚合端口号用作识别的字段值； 

下发绑定模块负责将在聚合端口的访问控制列表规则绑定到物理端口，在访问控制列表规则删除或者更改时，负责解绑定或者重新绑定访问控制列表规则到物理端口； 

更改通知模块，用于在聚合端口的配置改变时获取聚合端口的更改信息，对比已经配置的在聚合端口的访问控制列表信息，调用所述下发绑定模块，增加或 者减少物理端口的访问控制列表绑定；在聚合端口删除或者在聚合端口的访问控制列表规则解绑定时，更改通知模块会及时删除此聚合端口下的所有物理端口的绑定。 

本发明中应用上述装置实现在聚合端口的访问控制列表的方法，包括以下步骤： 

第一步，配置模块配置聚合端口所包含的物理端口； 

第二步，配置模块配置访问控制列表规则； 

第三步，下发绑定模块将第二步配置的规则应用到聚合端口；配置模块将分析聚合端口所包含的物理端口，获取端口列表； 

第四步，下发绑定模块将应用到聚合端口的访问控制列表规则分别绑定到物理端口； 

第五步，如果聚合端口所包含的物理端口有变化，或者聚合端口被删除，更改通知模块对比聚合端口的前后变化，重新下发端口的绑定或者解绑定。 

本发明能使目前只能在端口访问控制列表的设备适应网络发展需要，平滑升级到在聚合端口该问控制列表。 

具体实施方式

本发明的装置已有发明内容部分详细介绍，这里不再重复。 

下面通过一个具体的实施例对本发明的方法进行说明。 

假定想在Trunk 10(包含端口1-8)上应用一条ACL规则acl1。 

第一步，配置Trunk 10所包含的端口1-8。 

第二步，配置要应用的ACL规则，比如：丢弃某一源IP的报文，允许某一应用层的报文等。 

第三步，将ACL规则应用到Trunk 10，此时，基于Trunk的ACL配置模块将分析Trunk 10所包含的端口，获取端口列表：端口1-8。 

第四步，ACL下发绑定模块将应用到Trunk 10的ACL规则分别绑定到端口1-8。 

第五步，如果Trunk 10所包含的端口有变化，或者Trunk 10被删除，Trunk更改通知模块对比Trunk 10的前后变化，即所包含端口的变化(如果是Trunk 10被删除，则删除所有端口的ACL绑定)重新下发端口的绑定或者解绑定。